Hackers norte-coreanos saqueiam 500 milhões de dólares em um mês, tornando-se a maior ameaça à segurança de criptomoedas

Escrevendo: Oluwapelumi Adejumo

Traduzido por: Chopper, Foresight News

Em menos de três semanas, organizações de hackers relacionadas à Coreia do Norte roubaram mais de 500 milhões de dólares de plataformas de DeFi de criptomoedas, com o ponto de ataque dos hackers mudando do contrato inteligente central para vulnerabilidades na infraestrutura de borda.

Drift e KelpDAO sofrendo ataques

Duas grandes invasões ao Drift Protocol e KelpDAO fizeram com que os lucros ilegais de criptomoedas da Coreia do Norte ultrapassassem 700 milhões de dólares neste ano. As perdas massivas destacam a mudança tática deles: cada vez mais explorando vulnerabilidades complexas, infiltrações profundas de insiders, contornando as defesas de segurança padrão.

Em 20 de abril, o provedor de infraestrutura de cross-chain LayerZero confirmou que o KelpDAO foi atacado em 18 de abril, com uma perda de cerca de 290 milhões de dólares, tornando-se o maior roubo de criptomoedas até 2026. A empresa afirmou que as evidências iniciais apontam diretamente para o TraderTraitor — um grupo interno da renomada Lazarus Group, da Coreia do Norte.

Poucas semanas antes, em 1º de abril, a exchange descentralizada de contratos perpétuos baseada em Solana, Drift Protocol, foi roubada de aproximadamente 286 milhões de dólares. A empresa de inteligência blockchain Elliptic rapidamente associou as técnicas de lavagem na cadeia, sequências de transações e assinaturas de rede às rotas de ataque conhecidas da Coreia do Norte, indicando que esse já é o 18º incidente semelhante rastreado neste ano.

Mudança de ataque: infiltração na periferia da infraestrutura

As táticas de ataque de abril demonstram que os hackers norte-coreanos estão se tornando mais sofisticados em ataques a DeFi. Eles não atacam mais diretamente os contratos inteligentes centrais, mas buscam e exploram vulnerabilidades estruturais na borda.

No caso do ataque ao KelpDAO: os hackers invadiram a infraestrutura de RPC (chamada remota) de downstream usada pela rede de validação descentralizada (DVN) da LayerZero Labs. Ao adulterar esses canais de dados críticos, os invasores controlaram a operação do protocolo sem comprometer a criptografia central. A LayerZero desativou os nós afetados e restaurou totalmente a DVN, mas as perdas financeiras já não podem ser recuperadas.

Esse método de ataque indireto revela uma evolução assustadora na guerra de redes. A Cyvers, uma empresa de segurança blockchain, disse ao CryptoSlate: os atacantes ligados à Coreia do Norte estão ficando mais experientes, investindo mais recursos na preparação e execução dos ataques.

A empresa acrescentou: “Também observamos que eles sempre conseguem identificar os pontos mais fracos. Desta vez, a brecha foi em componentes de terceiros, e não na infraestrutura central do protocolo.”

Essa estratégia é muito semelhante às atividades tradicionais de espionagem corporativa, o que também indica que os ataques relacionados à Coreia do Norte estão se tornando cada vez mais difíceis de prevenir. Recentemente, eventos como a invasão da cadeia de suprimentos do pacote npm Axios, amplamente utilizado, por um grupo de ameaças específico da Coreia do Norte, UNC1069, mostram que os invasores estão sistematicamente sabotando o software antes mesmo de entrar no ecossistema blockchain.

Infiltração da Coreia do Norte na indústria global de criptomoedas

Além dos avanços técnicos, a Coreia do Norte também está realizando uma infiltração em grande escala e organizada no mercado global de trabalho em criptomoedas.

O padrão de ameaça mudou de ações remotas de hackers para a colocação direta de agentes maliciosos em startups Web3 desprevenidas.

Após uma investigação de seis meses pelo projeto Ketman, sob a Fundação Ethereum e ETH Rangers, uma conclusão surpreendente foi alcançada: cerca de 100 agentes cibernéticos norte-coreanos estão infiltrados em várias empresas de blockchain. Eles usam identidades falsas, passam facilmente por triagens padrão de RH, obtêm acesso a códigos internos sensíveis e permanecem silenciosamente na equipe por meses ou anos, antes de lançar ataques precisos.

Um investigador independente de blockchain, ZachXBT, confirmou ainda mais essa infiltração ao expor uma rede especial da Coreia do Norte, que emprega identidades fraudulentas para trabalho remoto, obtendo lucros de aproximadamente 1 milhão de dólares por mês.

Esse esquema realiza transferências de criptomoedas para moeda fiduciária por canais financeiros globais reconhecidos, tendo processado mais de 3,5 milhões de dólares desde o final de 2025.

Especialistas estimam que o total de receita gerada mensalmente por esses agentes de TI na Coreia do Norte chega a milhões de dólares. Isso fornece duas fontes de renda: salários estáveis + roubos massivos de protocolos com a ajuda de insiders.

Total de roubo de 6,75 bilhões de dólares

O volume de negócios de ativos digitais da Coreia do Norte supera qualquer outro grupo de crime cibernético tradicional. Segundo a Chainalysis, apenas em 2025, hackers ligados à Coreia do Norte roubaram um recorde de 2 bilhões de dólares, representando 60% do total de roubos de criptomoedas daquele ano.

Considerando as intensas ações de ataque deste ano, o total de ativos criptográficos roubados pela Coreia do Norte já atingiu 6,75 bilhões de dólares.

Após o roubo, o Lazarus Group demonstra um padrão de lavagem altamente específico e regionalizado: diferente dos criminosos comuns que usam DEX e protocolos de empréstimo ponto a ponto, os hackers norte-coreanos evitam esses canais. Dados na cadeia mostram que eles dependem fortemente de serviços de garantia na região de língua chinesa, redes de corretoras OTC profundas e serviços complexos de mistura de cross-chain. Essa preferência indica uma limitação estrutural e geográfica na monetização, ao invés de uma conexão ilimitada com o sistema financeiro global.

É possível prevenir?

Pesquisadores de segurança e executivos do setor acreditam que é possível prevenir, mas as empresas de criptomoedas precisam resolver as mesmas vulnerabilidades operacionais expostas por ataques anteriores.

Terence Kwok, fundador da Humanity, disse ao CryptoSlate que os ataques ligados à Coreia do Norte ainda exploram vulnerabilidades comuns, e não novas formas de invasão. Ele acredita que os invasores estão aprimorando suas técnicas de invasão e transferência de fundos ilícitos, mas a raiz do problema continua sendo controles de acesso ruins e riscos de operação centralizada.

Ele explicou: “Surpreendentemente, as perdas ainda se devem a problemas antigos, como controle de acesso e pontos únicos de falha. Isso mostra que o setor ainda não resolveu as questões básicas de segurança.”

Assim, Kwok aponta que a primeira linha de defesa é aumentar significativamente a dificuldade de transferir ativos, implementando controles mais rígidos sobre chaves privadas, permissões internas e acessos de terceiros. Na prática, as empresas devem reduzir a dependência de operadores individuais, limitar privilégios, reforçar a segurança de fornecedores e implementar verificações adicionais na infraestrutura entre os protocolos centrais e o mundo externo.

A segunda linha de defesa é a velocidade. Uma vez que fundos roubados cruzam chains, pontes ou entram em redes de lavagem, as chances de recuperação caem drasticamente. Kwok afirma que exchanges, emissores de stablecoins, empresas de análise blockchain e agências de aplicação da lei devem colaborar rapidamente nos minutos ou horas iniciais após o ataque, para aumentar as chances de interceptar os fundos.

Ele destacou a realidade do setor: as vulnerabilidades mais críticas do sistema de criptomoedas geralmente estão na interseção entre código, pessoas e operações. Uma credencial roubada, uma dependência fraca de fornecedores ou uma vulnerabilidade de permissão negligenciada podem causar perdas de centenas de milhões de dólares.

O desafio do DeFi não é mais apenas escrever contratos inteligentes robustos, mas proteger a segurança operacional do protocolo na borda antes que os invasores explorem o próximo ponto fraco.